14. Juli 2014 16:36
Hallo zusammen,
ich benötige Hilfe bei der Beantwortung einer Frage zum Berechtigungskonzept bei Navision 2009 und hoffe sehr, dass mir einer weiterhelfen kann:
> Es gibt eine spezielle Rolle XY, die gewährt unbeschränkten Zugriff auf die Objekte Codeunit, Dataport, Form, Menusuite, Report, Table und XMLport (überall Object_ID=0).
> Zudem ist die Rolle beim Objekt "Table Data" nicht eingeschränkt, also über alle Tabellen hinweg Berechtigungen für LESEN, EINFÜGEN, BEARBEITEN, LÖSCHEN.
> Nahezu jedem der 70 User ist diese Rolle zugeordnet.
--> Mein Zwischenfazit: Jeder dieser User hat doch unbeschränkten Zugriff auf Navision.
Nun wurde mir gesagt, dass den Usern nur bestimmte Menüpunkte im Navigationsbereich (NAVIPANE) zugeordnet wurden und der Zugriff darüber eingeschränkt sein soll. So hat z.B. nicht jeder User Zugriff auf den Menüpunkt "Verwaltung".
--> Meine Frage: Ist das ein üblicher und vor allem sicherer Weg, die Berechtigungen nur über "versteckte Menüpunkte" zu regeln? Gibt es evtl. Methoden, das auszuhebeln oder Schleichwege, um ohne Menüpunkt trotzdem zu einer Bildschirmmaske zu kommen?
*Update*: Eben habe ich noch erfahren, dass man wohl über die Navigate-Funktion viele Daten einsehen kann. Kann man sich damit z.B. von einer Bestellung durchhangeln zu den Debitorstammdaten und weiteren Posten?
Vielen herzlichen Dank,
Martin
15. Juli 2014 08:06
Hallo Martin,
das Ausblenden der Menüpunkte nutze ich nur, um das Menü für den einzelnen User übersichtlicher zu gestalten.
Meine Meinung: Wenn der User durch Zufall oder auch, weil er gezielt danach sucht, sich über Lookups oder Navigate durch die Tabellen hangelt, kann er auf Tabellen zugreifen, die in "seinen" Menüpunkten nicht zu finden sind.
Ich glaube nicht dass die Ausblendung von Menüpunkten ein sicherer Weg ist, bin mir aber nicht 100% sicher und bin gespannt, was Andere sagen.
Gruß
Marion
15. Juli 2014 09:14
haben die user zugriff auf den objektdesigner?
falls ja - kann von dort natürlich alles aufgerufen werden (da deine user ja im grunde super-rechte haben)
zu deiner frage:
nein - der übliche weg ist die rechtebeschränkung, welche natürlich sehr aufwendig werden kann(bzw. wird)
15. Juli 2014 10:02
Hallo Martin,
sofern die Benutzer die Zugriffsrechte auf alle Daten und Objekte besitzen, können sie auch alles sehen, einfügen, ändern, löschen und/oder ausführen.
Das Ausblenden von Menüpunkten in dem Navigationsbereich macht man in der Regel nur aus einem Grund: Um es für den Benutzer übersichtlicher zu gestalten.
Über Lookups, Drilldowns und Navigate kann sich ein halbwegs versierter Benutzer problemlos durch die Daten hangeln, und so auch die Sachposten der Gehaltskonten einsehen, obwohl er z. B. nur den Menüpunkt Einkauf im Navigationsbereich sieht.
Fazit: Das Ausblenden von Menüpunkten dient in keiner Weise der Sicherheit und ist als Zugriffsrechteverwaltung absolut unbrauchbar.
Der NAV-Standard (CRONUS-Mandant) geht folgenden Weg:
Alle Benutzer dürfen alle Objekte ausführen, und nur der Zugriff auf die Tabellendaten wird über entsprechende Rollen freigegeben.
Diese Variante ist relativ sicher, da es egal ist, welches Objekt (Form, Report, ...) jetzt auf die Tabellendaten zugreifen möchte.
Häufig treffe ich bei Kundendatenbanken jedoch den umgekehrten Weg an:
Alle Benutzer haben Vollzugriff auf alle Tabellendaten, und nur die Ausführungsberechtigung für die Objekte wird über entsprechende Rollen freigegeben.
Diese Variante ist - aus Anwendersicht - die einfachste, da sie für ihn "greifbarer" ist, hat jedoch den Nachteil, dass man indirekt dann doch wieder auf ein Objekt stößt, mit welchem man die (vermeintlich geschützten) Daten anzeigen (und evtl. ändern) könnte.
Sehr selten treffe ich bei Kundendatenbanken auf die sicherste Methode:
Sowohl der Zugriff auf die Tabellendaten, als auch die Ausführungsberechtigung von Objekten und Systemrechten wird über Rollen gesteuert.
Diese Variante ist eindeutig die sicherste, jedoch auch die aufwändigste.
15. Juli 2014 10:25
Hallo Martin,
wie Timo schon sagte.
Ist das Ausblenden der Menüpunkte als reine Benutzerverwaltung ungeeignet.
Einerseits können sich die Benutzer per Navigate durchhangeln, anderseits konnen sie sich auch selber Shortcut-Links erstellen und so jedes Report/Form Objekt usw. aufrufen.
Ich würde dir die STANDARD Variante vorschlagen:
Alle Benutzer dürfen alle Objekte ausführen (ohne "TABLEDATA"). (Rolle "Alle")
In den weiteren Rollen gibst du dann nur Zugriff Lese- bzw. Schreibzugriffe auf die jeweiligen "TABLEDATA" Objekte.
Diese Rollen + die Rolle "Alle" ordnest du dann den Benutzer zu.
mfg,
winfy
15. Juli 2014 11:00
Vielen herzlichen Dank an alle! Das hilft mir perfekt weiter.
Viele Grüße,
Martin
Powered by phpBB © phpBB Group.
phpBB Mobile / SEO by Artodia.